Cómo recopilar registros de eventos de auditoría de Windows Information Protection (WIP)

Se aplica a:

• Windows 10, versión 1607 y versiones posteriores

Windows Information Protection (WIP) crea eventos de auditoría en las siguientes situaciones:

• Si un empleado cambia la propiedad de un archivo de Trabajo a Personal.

• Si los datos se marcan como Trabajo, pero se comparten para una página web o aplicación personal. Por ejemplo, mediante copiar y pegar, arrastrar y colocar, compartir un contacto, cargar en una página web personal, o si el usuario concede a una aplicación personal acceso temporal a un archivo de trabajo.

• Si una aplicación tiene eventos de auditoría personalizados.

Recopilar registros de auditoría WIP mediante el proveedor de servicios de configuración (CSP) de informes

Recopile los registros de auditoría de WIP de los dispositivos del empleado siguiendo las instrucciones proporcionadas por la documentación del proveedor de servicios de configuración de informes (CSP). Este tema proporciona información sobre los eventos de auditoría reales.

Nota

El elemento Datos de la respuesta incluye los registros de auditoría solicitados en un formato XML con codificación.

Atributos y elementos de usuario

En esta tabla se incluyen todos los atributos disponibles para el elemento Usuario.

Atributo	Tipo de valor	Descripción
UserID	Cadena	El identificador de seguridad (SID) del usuario correspondiente a este informe de auditoría.
EnterpriseID	Cadena	El identificador de la empresa correspondiente a este informe de auditoría.

Atributos y elementos de registro

En esta tabla se incluyen todos los atributos y elementos disponibles para el elemento Registro. La respuesta puede contener cero (0) o más elementos de Registro.

Atributo o elemento	Tipo de valor	Descripción
ProviderType	Cadena	Esto siempre es EDPAudit.
LogType	Cadena	Incluye: DataCopied. Los datos de trabajo se copian o comparten en una ubicación personal. ProtectionRemoved. Windows Information Protection se quita de un archivo definido por el trabajo. ApplicationGenerated. Registro de auditoría personalizada proporcionado por una aplicación.
TimeStamp	Entero	Usa la estructura FILETIME para representar la hora en que se produjo el evento.
Directiva	Cadena	Cómo se compartieron los datos de trabajo con la ubicación personal: CopyPaste. Los datos de trabajo se pegaron en una aplicación o ubicación personal. ProtectionRemoved. Los datos de trabajo se cambiaron a desprotegidos. DragDrop. Los datos de trabajo se colocaron en una aplicación o ubicación personal. Share. Los datos de trabajo se compartieron con una aplicación o ubicación personal. NULL. Cualquier otra forma en que los datos de trabajo se pudieran volver personales más allá de las opciones anteriores. Por ejemplo, cuando se abre un archivo de trabajo mediante una aplicación personal (también conocido como acceso temporal).
Justification	Cadena	Sin implementar. Estará siempre en blanco o será NULL. Nota Reservado para uso futuro para recopilar la justificación del usuario del cambio de Trabajo a Personal.
Objeto	Cadena	Descripción de los datos de trabajo compartidos. Por ejemplo, si un empleado abre un archivo de trabajo mediante una aplicación personal, esta sería la ruta de acceso del archivo.
DataInfo	Cadena	Información adicional acerca de cómo cambió el archivo de trabajo: Ruta de acceso del archivo. Si un empleado carga un archivo de trabajo en un sitio web personal mediante Microsoft Edge o Internet Explorer, aquí se incluye la ruta del archivo. Tipos de datos del Portapapeles. Si un empleado pega los datos de trabajo en una aplicación personal, aquí se incluyen la lista de los tipos de datos del Portapapeles proporcionada por la aplicación de trabajo. Para obtener más información, consulta la sección Ejemplo de este tema.
Acción	Entero	Proporciona información acerca de lo qué ha ocurrido cuando los datos de trabajo se compartieron en personal, incluido: 1. Descifrado de archivo. 2. Copia en la ubicación. 3. Envío al destinatario. 4. Otros.
FilePath	Cadena	La ruta al archivo especificado en el evento de auditoría. Por ejemplo, la ubicación de un archivo que ha sido descifrado por un empleado o cargado en un sitio web personal.
SourceApplicationName	Cadena	El sitio web o la aplicación de origen. Para la aplicación de origen, esta es la identidad de AppLocker. Para el sitio web de origen, este es el nombre de host.
SourceName	Cadena	Cadena proporcionada por la aplicación que registra el evento. Está pensado para describir el origen de los datos de trabajo.
DestinationEnterpriseID	Cadena	El valor de identificador de empresa para la aplicación o el sitio web donde el empleado está compartiendo los datos. NULL, Personal o en blanco significa que no hay ningún identificador de empresa porque los datos de trabajo se compartieron en una ubicación personal. Dado que actualmente no se admiten varias inscripciones, siempre verá uno de estos valores.
DestinationApplicationName	Cadena	El sitio web o la aplicación de destino. Para la aplicación de destino, esta es la identidad de AppLocker. Para el sitio web de destino, este es el nombre de host.
DestinationName	Cadena	Cadena proporcionada por la aplicación que registra el evento. Está pensado para describir el destino de los datos de trabajo.
Aplicación	Cadena	La identidad de AppLocker para la aplicación en la que se produjo el evento de auditoría.

Ejemplos

Estos son algunos ejemplos de respuestas de Reporting CSP.

La propiedad de un archivo cambia de trabajo a personal

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
  <User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
    <Log ProviderType="EDPAudit" LogType="ProtectionRemoved" TimeStamp="131357166318347527">
      <Policy>Protection removed</Policy>
      <Justification>NULL</Justification>
      <FilePath>C:\Users\TestUser\Desktop\tmp\demo\Work document.docx</FilePath>
    </Log>
  </User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

Se carga un archivo de trabajo en una página web personal en Edge

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
  <User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
    <Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357192409318534">
      <Policy>CopyPaste</Policy>
      <Justification>NULL</Justification>
      <SourceApplicationName>NULL</SourceApplicationName>
      <DestinationEnterpriseID>NULL</DestinationEnterpriseID>
      <DestinationApplicationName>mail.contoso.com</DestinationApplicationName>
      <DataInfo>C:\Users\TestUser\Desktop\tmp\demo\Work document.docx</DataInfo>
    </Log>
  </User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

Los datos de trabajo se pegan en una página web personal

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
  <User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
    <Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357193734179782">
      <Policy>CopyPaste</Policy>
      <Justification>NULL</Justification>
      <SourceApplicationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT OFFICE 2016\WINWORD.EXE\16.0.8027.1000</SourceApplicationName>
      <DestinationEnterpriseID>NULL</DestinationEnterpriseID>
      <DestinationApplicationName>mail.contoso.com</DestinationApplicationName>
      <DataInfo>EnterpriseDataProtectionId|Object Descriptor|Rich Text Format|HTML Format|AnsiText|Text|EnhancedMetafile|Embed Source|Link Source|Link Source Descriptor|ObjectLink|Hyperlink</DataInfo>
    </Log>
  </User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

Se abre un archivo de trabajo con una aplicación personal

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
  <User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
    <Log ProviderType="EDPAudit" LogType="ApplicationGenerated" TimeStamp="131357194991209469">
      <Policy>NULL</Policy>
      <Justification></Justification>
      <Object>C:\Users\TestUser\Desktop\tmp\demo\Work document.docx</Object>
      <Action>1</Action>
      <SourceName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT&reg; WINDOWS&reg; OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2</SourceName>
      <DestinationEnterpriseID>Personal</DestinationEnterpriseID>
      <DestinationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT&reg; WINDOWS&reg; OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2</DestinationName>
      <Application>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT&reg; WINDOWS&reg; OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2</Application>
    </Log>
  </User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

Los datos de trabajo se pegan en una página web personal

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
  <User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
    <Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357196076537270">
      <Policy>CopyPaste</Policy>
      <Justification>NULL</Justification>
      <SourceApplicationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT OFFICE 2016\WINWORD.EXE\16.0.8027.1000</SourceApplicationName>
      <DestinationEnterpriseID>NULL</DestinationEnterpriseID>
      <DestinationApplicationName></DestinationApplicationName>
      <DataInfo>EnterpriseDataProtectionId|Object Descriptor|Rich Text Format|HTML Format|AnsiText|Text|EnhancedMetafile|Embed Source|Link Source|Link Source Descriptor|ObjectLink|Hyperlink</DataInfo>
    </Log>
  </User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

Recopilar registros de auditoría WIP mediante el Reenvío de eventos de Windows (solo para dispositivos unidos a dominio del escritorio de Windows)

Usa el reenvío de eventos de Windows para recopilar y agregar los eventos de auditoría de Windows Information Protection. Puedes ver los eventos de auditoría en el Visor de eventos.

Ver los eventos de WIP en el Visor de eventos.

1. Abre el Visor de eventos.

2. En el árbol de consola, en Registros de aplicaciones y servicios\Microsoft\Windows, haz clic en EDP-Audit-Regular y EDP-Audit-TCB.

Recopilación de registros de auditoría de WIP mediante Azure Monitor

Puede recopilar registros de auditoría mediante Azure Monitor. Consulte Orígenes de datos del registro de eventos de Windows en Azure Monitor.

Para ver los eventos WIP en Azure Monitor

1. Use un área de trabajo de Log Analytics existente o cree una nueva.

2. EnConfiguración avanzada deLog Analytics>, seleccione Datos. En Registros de eventos de Windows, agregue registros para recibir:

   Microsoft-Windows-EDP-Application-Learning/Admin
   Microsoft-Windows-EDP-Audit-TCB/Admin
   

   Nota

   Si usa registros de eventos de Windows, los nombres del registro de eventos se pueden encontrar en Propiedades del evento en la carpeta Eventos (Registros de aplicaciones y servicios\Microsoft\Windows, haga clic en EDP-Audit-Regular y EDP-Audit-TCB).

3. Descargue Microsoft Monitoring Agent.

4. Para obtener MSI para Intune instalación, como se indica en el artículo de Azure Monitor, extraiga:MMASetup-.exe /c /t:

   Instale Microsoft Monitoring Agent en dispositivos WIP mediante el identificador de área de trabajo y la clave principal. Puede encontrar más información sobre el identificador del área de trabajo y la clave principal enConfiguración avanzada deLog Analytics>.

5. Para implementar MSI a través de Intune, en los parámetros de instalación, agregue:/q /norestart NOAPM=1 ADD_OPINSIGHTS_WORKSPACE=1 OPINSIGHTS_WORKSPACE_AZURE_CLOUD_TYPE=0 OPINSIGHTS_WORKSPACE_ID=<WORKSPACE_ID> OPINSIGHTS_WORKSPACE_KEY=<WORKSPACE_KEY> AcceptEndUserLicenseAgreement=1

   Nota

   Reemplace <WORKSPACE_ID> & <WORKSPACE_KEY> recibidos del paso 5. En los parámetros de instalación, no coloque <WORKSPACE_ID> & <WORKSPACE_KEY> entre comillas ("" o "").

6. Una vez implementado el agente, los datos se recibirán en un plazo aproximado de 10 minutos.

7. Para buscar registros, vaya aRegistrosdel área> de trabajo de Log Analytics y escriba Evento en la búsqueda.

   Ejemplo

   Event | where EventLog == "Microsoft-Windows-EDP-Audit-TCB/Admin"
   

Recursos adicionales

• Cómo implementar la aplicación a través de Intune
• Creación de un área de trabajo de registro
• Uso de Microsoft Monitoring Agents para Windows